Problem mit Session!

Hallo!
Ich habe jetzt meine kleine Page zum ASP üben erweitert, man kann sich einloggen und wenn man adminrechte hat (Die Rechte stehen in einer Spalte der Access-datenbank), ist es möglich, News hinzuzufügen. In dem Moment, wo man auf den "Login"-Button klickt, überprüft das Script ob Username und Passwort übereinstimmen, und man bekommt eine SessionID zugewiesen. Diese ID hänge ich dann immer an die URL an. Also "index.asp?ASPSESSID=12345678".
Mein Problem ist folgendes: Ich könnte als Besucher der Site einfach an die URL eine beliebige ASPSESSID-Nummer anhängen. Als solcher habe ich zwawr keine Admin-rechte, aber man ist als normaler User eingeloggt - und das sollte nun wirklich nicht sein :(
Kann mir jemand helfen, das Problem zu lösen, bzw die SessionID nicht so offensichtlich manipulieren zu können?

Vielen Dank im Vorraus!
Greetz Script_Kiddie
 
Belege eine Sessionvariable

Hi,

nachdem Du die Session gestartet hast erzeugst Du eine Sessionvariable
Bsp:
Dim Session("Session_OK")
Dann gibst du ihr einen Wert.
Session("Session_OK")="OK"

Auf jeder folgenden Seite Fragst Du den Wert ab
if Session("Session_OK")="OK" then
' Der User darf .....
else
response.redirect("http://www.irgendwohin.de") 'schmeiß Ihn raus
end if


Viel Spaß
 
Zurück